Lors de ses investigations, l'ANSSI a analysé plusieurs chaînes de compromission du mode opératoire d'attaque (MOA) APT28 utilisées à des fins d'espionnage. Certaines campagnes ont été dirigées contre des organisations françaises, dont des entités gouvernementales, des entreprises, des universités, ainsi que des instituts de recherche et des groupes de réflexion (think tanks).
Si les attaquants poursuivent leurs campagnes d'attaque par force brute et d'exploitation de vulnérabilités, l'ANSSI constate par ailleurs que les attaquants réduisent le risque de détection en compromettant des équipements peu surveillés et situés en périphérie du réseau (routeurs, passerelles et serveurs de messagerie, pare-feux). Dans certains cas, aucune porte dérobée n'est déposée sur le réseau compromis.
Ce document s'appuie sur des rapports techniques publiés en source ouverte et des éléments collectés durant des opérations de réponse à incident réalisées par l'ANSSI. Il détaille les tactiques, techniques et procédures (TTP) caractéristiques des activités du mode opératoire depuis la seconde moitié de l'année 2021 (section 2) et propose une série de recommandations pour se prémunir contre ce type d'attaque (section 3).
Télécharger le rapport : Campagnes d'attaques du mode opératoire APT28 depuis 2021